韓 기업 노리는 '그 놈들'…랜섬웨어, 더 강해진다
올해는 우리나라 기업 및 기관을 대상으로 한 사이버 공격이 두드러지는 해가 될 전망이다. 제조업, IT, 금융권 등 분야를 가리지 않고 전 세계 사이버 범죄자들은 한국 기업을 여전히 겨낭해 데이터 및 금전을 탈취하려 하고 있다. 특히 랜섬웨어(Ransomware), 기업이나 기관의 시스템에 침투해 데이터를 암호화 및 탈취하고, 거액의 금전을 요구하는 이 공격 방식에 피해 기업들은 속수무책으로 무너졌다. 실제로 예스24, SGI서울보증, 여러 자산운용사 등 많은 기업들이 랜섬웨어에 홍역을 앓기도 했다. 안타깝게도 향후 랜섬웨어 공격자들은 더욱 진화할 전망이다. 그 변화는 최근 활발히 진행되고 있으며, 우리 기업에 대한 위협도 점차 커지고 있다. 랜섬웨어 등 사이버 위협에 적극적으로 대응하고 투자해야 하는 이유다. 글로벌 해커 타깃 된 한국 기업 보안업체 관계자는 "최근 랜섬웨어 그룹 조직은 증가하고 있고, 랜섬웨어 감염 방식도 더 다양한 동작으로 이뤄지고 있다"며 "단순히 파일을 암호화하는 것에서 벗어나, 암호화 이후 파일을 모두 삭제해버리거나 데이터를 유출·판매해 추가적으로 수익을 올리는 등 더욱 악질이 되어가고 있다"고 진단했다. 실제로 랜섬웨어 조직들은 최근 증가세다. 미국 사이버 보안 기업 블랙카이트(Black kite)는 최근 발간한 보고서에서 전 세계 현재 활동 중인 랜섬웨어 그룹은 96개이며, 이 중 52개가 새로 랜섬웨어 시장에 등장한 그룹으로 알려졌다고 발표했다. 100개의 육박하는 사이버 범죄자들이 한국을 비롯한 대부분의 국가에 랜섬웨어 공격을 시도하고 있는 것이다. 대부분 미국이나 캐나다 등 기업을 대상으로 공격 활동을 이어가고 있지만, 일부 랜섬웨어 그룹의 경우 한국 기업을 대상으로 집요한 공격을 이어가고 있다. 올해 가장 왕성한 공격을 기록하고 있는 킬린(Qilin), SGI서울보증·SFA 등 다수의 피해 한국 기업을 낳은 건라(Gunra) 등이 대표적이다. 이 외에도 안랩 보고서에 따르면 랜섬웨어 그룹 인크랜섬(Inc Ransom)이 한국 지역의 한 방송 및 통신 장비 제조업체를 공격한 것으로 확인됐다. 글로벌 사이버 범죄자들의 타깃에 한국 기업도 포함돼 있다는 의미다. 특히 킬린의 경우 올해만 한국 기업 30여곳을 공격했다. 킬린은 국내 자산운용사 30곳의 내부자료를 탈취했다고 주장하고 있으며, 최근에도 국내 발전설비 제조사 1곳을 공격한 것으로 전해졌다. 글로벌 사이버 범죄자, 연합하고 생겨나고…위협 커진다 랜섬웨어 공격자들이 서로 연합하고, 새로 시장에 합류하는 등 공격 자체가 양적으로 늘어나는 문제가 가장 위협적이다. 최근 보안업계에 따르면 세계 최대 랜섬웨어 그룹으로 악명을 떨쳤던 '록빗(LockBit)'은 새로운 버전인 '록빗 5.0'을 공개하며 랜섬웨어 시장에 다시 합류했다. 국제 공조로 인프라를 압수당한 이후 킬린, 아키라(Akira) 등 랜섬웨어 조직이 록빗의 자리를 대체했으나, 사실상 '범죄 두목'이 복귀한 상황이 된 것이다. 록빗은 국내 대형 타이어 업체는 물론 국세청 등 국내 기업 및 기관을 대상으로도 공격을 시도한 사례가 있다. 문제는 록빗이 드래곤포스, 킬린(Qilin) 등 다른 랜섬웨어 그룹과 연합을 구성했다는 점이다. 각 그룹끼리 기술과 자원을 공유함으로써 각 랜섬웨어 그룹의 운영을 더욱 확장하겠다는 계획으로 보인다. 3곳의 랜섬웨어 그룹 모두 국내 기업을 공격한 이력이 있다. 랜섬웨어 공격자들이 늘어나고, 국내 기업도 타깃에 포함돼 있는 만큼 이들의 연합이 더 강화된 방식으로 피해를 키울 수 있다. 기존에 활동하던 그룹뿐 아니라 새롭게 등장한 랜섬웨어 그룹도 한국 기업에 눈독 들이고 있다. 건라의 경우가 대표적이다. 건라는 올해 4월 처음으로 탐지된 신흥 랜섬웨어 조직이다. 등장한 지 1년도 채 되지 않아 한국 기업을 연속으로 공격하고 있다. 공작기계 기업 화천기계, SGI서울보증, 삼화콘덴서 등을 공격한 장본인이다. 새롭게 등장한 랜섬웨어 그룹은 또 있다. '블랙슈란탁(BlackShrantac)', '세이프페이(safepay)', '비스트(Beast)' 등 그룹이다. 이 중 블랙슈란탁은 등장한 지 1달도 채 되지 않아 한국 기업에 관심을 보였다. 국내 최대 보안 기업 SK쉴더스의 데이터를 탈취했다고 자신들의 다크웹 사이트에 업로드한 것이다. 단 해당 데이터들은 SK쉴더스가 파놓은 '함정'으로, '허니팟(honeypot)'인 것으로 나타났다. 허니팟은 비정상적인 접근을 탐지하기 위해 진짜 사이트 및 데이터베이스인 것처럼 위장한 '가짜' 데이터다. 보안업계 및 수사기관들은 사이버 범죄자 검거 또는 분석을 위해 이같은 허니팟을 운영하고 있다. 다행히 SK쉴더스가 직접적인 외부 침투를 받은 것이 아니라 허니팟 데이터가 유출된 것이지만, 새로 등장한 랜섬웨어 그룹이 생긴 지 합류한 지 얼마 되지 않아 한국 기업에 공격을 시도하려고 했던 점은 위협적으로 다가온다. 홍승균 에브리존 대표는 "신·변종 랜섬웨어 공격은 기존 레거시보안 모델에선 위협에 대한 감염 후 사후처리 방식으로 차단하기에는 어려움이 있는 경우가 있다"며 "또 신종 랜섬웨어의 특징으로는 암호화, 데이터 유출 등 협박형 모델이 늘어나 기업들에 피해가 더욱 가중되고 있다"고 우려했다. 북한 등 국가 배후 공격도 주의…보안 수칙 철저히 지켜야 랜섬웨어 그룹 뿐 아니라 국가 배후 사이버 위협도 커지고 있다. 앞서 지난 8월8일 미국 해킹 잡지 '프렉'은 40주년 기념호를 발간하며 'APT Down: The North Korea Files' 보고서를 발표했다. 이 보고서에는 북한의 지원을 받는 것으로 알려진 '김수키(Kimsuky)'로 추정되는 세력이 한국과 대만 정부의 내부 시스템에 대한 지속적인 공격이 적나라하게 드러났다. 보고서에 따르면 이 공격 세력은 통일부·해양수산부 계정으로 국내 공무원 업무시스템인 온나라시스템에 침투한 것으로 알려졌다. 또 17일 정부도 이같은 침해사실을 공식 시인하며, 공무원 인증서 650명분이 유출된 사실을 발표했다. 온나라시스템뿐 아니라 보고서에는 국방부 방첩사령부(DCC), 외교부, 대검찰청 등 기관에 로그인 시도와 피싱 기록도 포함됐다. 방첩사령부를 대상으로도 시도한 피싱 공격 로그가 확인됐다. 문제는 우리나라 정부가 국가 배후 공격 그룹의 지속적인 공격에 노출돼 있는 가운데 북한이 랜섬웨어 공격에도 처음 합류하면서 '국가 배후 랜섬웨어'도 떠오르는 위협이 됐다. 마이크로소프트(MS)의 연례 '2025 디지털 방어 보고서'에 따르면 'MS 위협 인텔전스'는 북한의 한 해커가 처음으로 서비스형 랜섬웨어(RaaS) 제휴자로 참여한 사례를 발견했다. 보고서는 "북한이 랜섬웨어 사이클을 외주화해 표적 침투 활동에만 집중할 수 있도록 한 조치"라고 북한의 랜섬웨어 공격 증가를 우려했다. 보안업계는 랜섬웨어 대응을 위해 보안 수칙을 잘 지켜야 한다고 당부한다. 보안업계 관계자는 "운영체제 및 소프트웨어의 최신 보안 업데이트를 꼭 적용하고, 보안 소프트웨어를 설치하는 것을 권장한다"며 "정기적으로 데이터를 지키기 위한 백업을 수행하고, 해당 백업도 오프라인이나 별도 네트워크에 보관하는 것이 무엇보다 중요하다"고 강조했다. 그는 이어 "기본적인 보안 수칙이지만, 신뢰할 수 없는 출처의 웹사이트나 이메일을 클릭하지 않도록 직원 개개인에 대한 실질적인 교육이 이뤄져야 한다. 형식상 진행하는 교육은 의미가 없다"며 "다중인증(MFA) 등을 활성화해 데이터를 지켜야 한다"고 밝혔다.
